Processo de Elaboração e Revisão de Normas de Segurança da Informação
| Responsável pelo processo |
|---|
| Coordenadoria de Segurança da Informação e Proteção de Dados |
Papéis e responsabilidades
Papéis |
Responsabilidades |
Presidência |
Aprovar e editar as normas de segurança da informação. |
Comitê de Governança de TIC |
Analisar e manifestar-se sobre a proposição de normas de segurança da informação, em apoio à Presidência. |
Comitê de Segurança da Informação e Proteção de Dados |
Propor à Administração novas normas de segurança da informação ou alterações nas já existentes. Revisar periodicamente as normas existentes. |
Coordenadoria de Segurança da Informação e Proteção de Dados (CSIPD) |
Revisar normas vigentes. |
Identificar necessidade de elaboração de novos regramentos. |
|
Elaborar proposições ou informações sobre as situações analisadas. |
|
Outras áreas do TRT |
Publicar as normas aprovadas pela Presidência. |
Ferramentas
Indicadores de processo
Descrição do indicador |
Método de apuração / fórmula de cálculo |
Frequência |
N/A |
N/A |
N/A |
Controle de execução do processo
Controle |
Método de execução |
Frequência |
Auditoria |
Realizar uma reunião com as equipes executoras do processo, para avaliar a aderência, os benefícios gerados e oportunidades de melhoria do processo. Essa reunião deve identificar se o processo necessita de revisão. |
Anual |
Descrição das Atividades
Identificar necessidade de elaboração de novo regramento |
||
Descrição |
Identificar a necessidade de elaboração de novo normativo de segurança da informação. |
|
Considerações importantes |
De acordo com as melhores práticas ou em decorrência de solicitações oriundas dos órgãos diretivos ou de assessoria do TRT, recomendações dos órgãos de controle interno ou externo ou alterações tecnológicas, pode haver necessidade de elaborar um novo regramento. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Catálogo de Normas de SI; Solicitações da Presidência, Comitê de Segurança da Informação e Proteção de Dados, Comitê de Governança de TIC, CSJT e CNJ, no sentido da elaboração de novo regramento, recomendações dos órgãos de controle interno ou externo, melhores práticas, alterações tecnológicas, etc. |
|
Saídas |
Identificação da situação a ser regrada e principais tópicos a serem abordados. |
|
Atividades |
Identificar a nova situação que será objeto de regramento |
Identificar a situação a ser regrada. Deve ser verificada se há necessidade de elaboração de novo regramento ou se a proposição pode ser inserida dentre as normas vigentes, como solicitação de alteração. |
Identificar principais tópicos |
Identificar os principais tópicos/itens a serem regrados, a fim de subsidiar a elaboração da proposição. |
|
Revisar normas vigentes |
||
Descrição |
Revisar normas em vigor, identificando sua adequação às diretrizes e procedimentos vigentes ou necessidade de alteração. |
|
Considerações importantes |
A revisão das normas vigentes pode decorrer das seguintes situações: revisão periódica prevista na documentação, alteração das regras ou procedimentos previstos nas normas ou das situações que ensejaram sua elaboração, ou ainda, de necessidade de melhorias identificadas quando de sua aplicação. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Catálogo de Normas de SI |
|
Saídas |
Definição sobre a manutenção ou necessidade de alteração das normas vigentes |
|
Atividades |
Revisar as normas em vigor |
Existe previsão na documentação para revisão das normas anualmente ou sempre que detectada circunstância que enseje sua alteração. |
Identificar situações que ensejem a alteração parcial da norma |
A alteração da norma pode decorrer de uma melhoria em sua redação ou em sua organização, bem como de uma adequação ou acréscimo às diretrizes e procedimentos nela previstos. Neste caso, o próximo passo será elaborar proposição de alteração da norma. |
|
Verificar adequação da norma às diretrizes e procedimentos vigentes |
Neste caso, não haverá necessidade de alteração da norma. O próximo passo será a elaboração de informação dando ciência sobre a revisão e as conclusões no sentido de manutenção da norma. |
|
Elaborar informação |
||
Descrição |
Elaborar informação com os resultados da revisão realizada no sentido da manutenção da(s) normas(s), sem alterações, com todos os dados necessários à avaliação pelas instâncias superiores. |
|
Considerações importantes |
A elaboração de mera informação ocorrerá nos casos em que a norma, embora devidamente revisada, não necessite alteração. Essa situação decorre muitas vezes da revisão periódica das normas. A proposta de manutenção da norma deverá ser informada e formalizada junto às instâncias superiores. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Revisão das normas |
|
Saídas |
Informação ao Comitê de Segurança da Informação e Proteção de Dados |
|
Atividades |
Elaborar informação |
Na informação deverão ser noticiadas os aspectos da revisão realizada e a conclusão sobre a possibilidade de manutenção da norma. |
Encaminhar para análise das instâncias superiores |
A informação deverá ser formalmente submetida ao Comitê de Segurança da Informação e Proteção de Dados e Presidência , em expediente próprio. Se alguma destas instâncias não estiver de acordo com a proposição de manutenção da norma, o expediente deverá ser devolvido à Coordenadoria de Segurança da Informação e Proteção de Dados para elaboração de proposição de alteração do regramento. |
|
Dar ciência da deliberação aos envolvidos |
||
Descrição |
Dar ciência da deliberação aos envolvidos. |
|
Considerações importantes |
Se não houver publicação no Boletim de Serviço, a Presidência determina, após a tomada de decisão, a ciência das áreas que participaram da proposição. |
|
Papéis |
Presidência |
|
Entradas |
Deliberação |
|
Saídas |
Despacho determinando a ciência da decisão |
|
Atividades |
Dar ciência da deliberação |
Neste processo, esta atividade ocorrerá em duas oportunidades: ¿ Presidência está de acordo com a conclusão da revisão em que se propõe a manutenção de normas vigentes, sem alterações a serem realizadas. ¿ Presidência rejeita totalmente a proposição de alteração de norma ou de criação de novo regramento. Os envolvidos no processo tomam ciência e o expediente fica arquivado no local para o qual foi encaminhado pela Presidência. |
Elaborar proposição |
||
Descrição |
Elaborar proposição de alteração ou criação de nova norma (minuta de norma e encaminhamento à instância superior). |
|
Considerações importantes |
A minuta de norma deverá observar o padrão utilizado para as demais normas e deve ser acompanhada da exposição de motivos. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Revisão das normas ou identificação da necessidade de elaboração de novo regramento. |
|
Saídas |
Minuta de norma ou proposta de alteração e encaminhamento à deliberação superior |
|
Atividades |
Redigir minuta de norma |
Com base nos dados levantados nas atividades anteriores, será elaborada minuta de norma, observando o padrão definido para as normas de segurança da informação. |
Redigir exposição de motivos |
A minuta de norma deve ser acompanhada de exposição de motivos, em que identificadas as circunstâncias motivadoras da alteração da norma ou do novo regramento proposto. |
|
Encaminhar ao Comitê de Segurança da Informação e Proteção de Dados |
Os documentos produzidos nesta atividade deverão ser submetidos ao Comitê de Segurança da Informação e Proteção de Dados para validação. |
|
Validar proposição |
||
Descrição |
O Comitê de Segurança da Informação e Proteção de Dados deverá validar a proposição. |
|
Considerações importantes |
N/A |
|
Papéis |
Comitê de Segurança da Informação e Proteção de Dados |
|
Entradas |
Proposição da Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Saídas |
Proposição validada ou solicitação de ajustes |
|
Atividades |
Examinar proposição |
O Comitê de Segurança da Informação e Proteção de Dados deverá examinar a proposição, propondo alterações ou validando-a como um todo. |
Formalizar deliberação |
A deliberação deverá ser formalizada (registro de reunião ou manifestações de seus integrantes, p.ex., por e-mail.) |
|
Propor ajustes |
Identificada a necessidade de alterações, a proposição será devolvida à Coordenadoria de Segurança da Informação e Proteção de Dados para os devidos ajustes. |
|
Submeter a proposição para apreciação da Presidência |
Definida a versão final da proposição, ela deverá ser submetida à Presidência para apreciação e aprovação.. |
|
Ajustar proposição |
||
Descrição |
Alterar a proposição conforme validação do Comitê de Segurança da Informação e Proteção de Dados e analisar opinião expressada pelo Comitê de Governança de TIC, quando recomendado ajustes. |
|
Considerações importantes |
N/A |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Deliberação dos Comitês |
|
Saídas |
Proposição ajustada |
|
Atividades |
Analisar a deliberação |
Identificar na deliberação do Comitê de Segurança da Informação e Proteção de Dados os pontos que merecem alteração e eventuais repercussões em outros itens da norma levando em consideração eventuais manifestações.. |
Ajustar proposição |
Ajustar proposição e redigir nova versão a ser submetida novamente ao Comitê de Segurança da Informação e Proteção de Dados para validação. |
|
Apreciar proposição e manifestação |
||
Descrição |
Apreciar a proposição encaminhada pelo Comitê de Segurança da Informação e Proteção de Dados |
|
Considerações importantes |
N/A |
|
Papéis |
Presidência |
|
Entradas |
Proposição do Comitê |
|
Saídas |
Ato Normativo formalizando a revisão ou despacho rejeitando a proposição |
|
Atividades |
Apreciar a proposição e manifestação |
A proposição deverá ser apreciada pela Presidência do TRT. Em regra, a Assessoria Jurídica manifesta-se sobre os termos da proposição e propõe os ajustes necessários. |
Aprovar proposição |
Estando de acordo com a proposição apresentada (com ajustes ou não) a Presidência aprova a norma ou sua alteração e determina a edição do Ato Normativo (Portaria). |
|
Rejeitar proposição |
Não estando de acordo com a proposição haverá a negativa de encaminhamento. Em qualquer caso, a deliberação deverá ser registrada formalmente. |
|
Editar Ato Normativo |
||
Descrição |
Aprovada a proposição, ainda que parcialmente, deverá ser editado Ato Normativo. |
|
Considerações importantes |
Via de regra, as alterações de políticas e protocolos (sejam as alterações nas normas já existentes, seja a inclusão de nova norma) são feitas via edição de Portaria. |
|
Papéis |
Presidência |
|
Entradas |
Proposição aprovada |
|
Saídas |
Ato Normativo |
|
Atividades |
Redigir e assinar Ato Normativo |
A minuta de Portaria será elaborada pela Assessoria da Presidência e encaminhada para assinatura. |
Encaminhar para publicação |
||
Descrição |
Encaminhar Ato Normativo devidamente assinado para publicação. |
|
Considerações importantes |
N/A |
|
Papéis |
Presidência |
|
Entradas |
Ato Normativo assinado |
|
Saídas |
e-mail encaminhando Ato Normativo para publicação |
|
Atividades |
Encaminhar Ato Normativo para publicação |
A Presidência encaminha, via e-mail, o Ato Normativo assinado para publicação no DEJT e no Boletim de Serviço. Esta comunicação é feita em cópia para a SETIC, a fim de informar com antecedência a publicação da norma. |
Publicar Ato Normativo e atualizar internet |
||
Descrição |
Publicar Ato Normativo no DEJT e no Boletim de Serviço |
|
Considerações importantes |
A Presidência poderá determinar a republicação de toda a PSI quando da publicação da alteração. |
|
Papéis |
Outras áreas do TRT |
|
Entradas |
e-mail da Presidência solicitando a publicação |
|
Saídas |
Ato Normativo publicado |
|
Atividades |
Publicar Ato Normativo |
Publicar no DEJT e no Boletim de Serviço a Portaria assinada. |
Atualizar internet |
Após a publicação, o site do TRT deverá ser atualizado com o teor da nova Portaria (Atos Normativos - Portarias da Presidência). |
|
Atualizar registros e Portal de Governança de TIC |
||
Descrição |
Atualizar registros, divulgar normativos e publicar no Portal de Governança de TIC. |
|
Considerações importantes |
N/A |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Ato Normativo publicado |
|
Saídas |
Portais atualizados Catálogo de Normas de SI atualizado |
|
Atividades |
Atualizar PROAD da revisão da respectiva norma |
A CSIPD mantém os seguintes PROAD’s para controle e formalização dos normativos: PROAD 7248/2019 - PSI PROAD 7250/2019 - Processos de Sistema de Gestão de Segurança da Informação (SGSI), de Elaboração e Revisão das Normas de Segurança da Informação, e de Treinamento e Conscientização em Segurança da Informação PROAD 2379/2021 - Protocolos de Segurança Cibernética |
Divulgar principais alterações da PSI |
Divulgar as principais alterações das normas (Portal VOX, e-mail, etc). |
|
Atualizar Portal de Governança de TIC |
Proceder com as alterações necessárias no Portal de Governança de TIC (processos de segurança da informação, página do Comitê de Segurança da Informação e Proteção de Dados, PSI, etc). Também deve ser revisada a página Portarias para incluir a portaria de alteração. |
|
Registrar publicação |
Informar nos PROAD’s respectivos a publicação no Portal de Governança de TIC. |
|